Все о туннелях IPIP, GRE и EoIP

[Geont]

А ping-check имеет смысл на EoIP вешать? На IPIP уже висит со стороны клиента

[r13]

1 час назад, Geont сказал:

А ping-check имеет смысл на EoIP вешать? На IPIP уже висит со стороны клиента

Если нужно чекать то лучше делайте ipsec чтобы он отвечал за поддержание соединения. Пинг чек в такой конфигурации весь бридж будет рестартить что для home сегмента это не есть хорошо. 

[r13]

4 часа назад, Geont сказал:

Так все таки, нужно выставлять MTU на EoIP, при условии, что включено set net.core.eoip_allow_fragment 1?

Пока есть мнение что данная фича не работает.

[dexter]

А у меня есть мнение, что работает. Правда, у меня EoIP инкапсулируется в IPIP и без этого какое MTU не ставь сайты не открываются. А мультикаст при этом идет отлично.

[Geont]

У меня сейчас на отдельном от IPIP EoIP сайты открываются с задержкой. Изначально настроил без mtu, сейчас прибил на обоих концах 1360 - пока без изменений. net.core.eoip_allow_fragment включен. Есть смысл уменьшать? На IPIP выставлено 1400

[dexter]

У меня вот так:

system

    set net.core.eoip_allow_fragment 1

interface GigabitEthernet0/Vlan253
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip tcp adjust-mss 1300
    up
!
!
interface EoIP0
    mac address 0e:5b:ac:fd:d2:4b
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip tcp adjust-mss 1300
    tunnel destination 192.168.254.253
    tunnel eoip id 1500
    up
!
interface Bridge2
    rename L2-Vlan253
    inherit GigabitEthernet0/Vlan253
    include EoIP0
    security-level private
    ip address 192.168.253.254 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip tcp adjust-mss 1300
    up
!
interface IPIP0
    security-level private
    ip address 192.168.254.254 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key
    ipsec ikev2
    tunnel source auto
    up
!

 

[r13]

10 часов назад, dexter сказал:

А у меня есть мнение, что работает. Правда, у меня EoIP инкапсулируется в IPIP и без этого какое MTU не ставь сайты не открываются. А мультикаст при этом идет отлично.

А у вас через этот туннель нефрагментированный пинг какой длины пролезает?

[Geont]

В общем, то ли лыжи, то ли я.

Настроил между Ultra II (сервер) и Giga III (клиент) IPIP/IPSec и EoIP/IPSec. С IPIP проблем нет, все маршрутизируется, скорость порядка 88 Мбит. EoIP на стороне сервера завернут в Home, на стороне клиента завернут в выделенный бридж с LAN4. Вчера все с ним было относительно хорошо (назначался IP от удаленного DHCP, был доступ в нет, но были некоторые проблемы с открытием сайтов и доступом к хостам на стороне сервера). Сегодня стало все плохо - не назначается даже IP, хотя оба туннеля подняты. В логах на мой вгзляд ничего подозрительного. Вроде все просмотрел, но может уже глаз замылился... Конфиги:

system
    set net.core.eoip_allow_fragment 1

//сервер
interface EoIP0
    mac address 72:92:4f:0b:7e:98
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key
    ipsec ikev2
    tunnel source auto
    tunnel eoip id 1500
    up
!
interface Bridge0
    rename Home
    description "Home network"
    inherit GigabitEthernet0/Vlan1
    include AccessPoint
    include AccessPoint_5G
    include EoIP0
    security-level private
    ip address 192.168.150.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    igmp downstream
    up
!
interface IPIP0
    security-level private
    ip address 192.168.100.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1400
    ipsec preshared-key
    ipsec ikev2
    tunnel source auto
    up
!

//клиент
interface Bridge2
    description IPTV
    inherit GigabitEthernet0/Vlan4
    include wifiIPTV
    include EoIP0
    security-level protected
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface EoIP0
    mac address 9a:5b:2b:47:1f:4f
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key
    ipsec ikev2
    tunnel destination yyy.ru
    tunnel eoip id 1500
    up
!
interface IPIP0
    security-level private
    ip address 192.168.100.2 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1400
    ipsec preshared-key
    ipsec ikev2
    tunnel destination yyy.ru
    up
!

Self-test прикрепил ниже

[oparamonov]

Ребят подскажите пожалуйста как правильно настроить сеть:

Есть два заведения (2 кафе), компьютерное оборудование настроено на одну локальную сеть. Интернет в обоих местах 3 мбит. Роутер и там и там keenetic viva с последней прошивкой. В одном место подключение к интернету через ip адрес (но он серый). А в другом месте интернет подключен через PPPoE и имеет белый адрес. 

Потребность в том чтобы в локальной сети между оборудованием проходил broadcast, чтобы оно все так оставалось в одной сети.

Каким образом надо настроить туннели между ними?

Я так понимаю нужен туннель L2 с защитой. Но если настраивать vpn то должны быть разными подсети. Какой выход можно найти в этой ситуации?

[Geont]

2 часа назад, oparamonov сказал:

Интернет в обоих местах 3 мбит.

 

2 часа назад, oparamonov сказал:

туннель L2 с защитой

ИМХО, плохая идея. Если туннель развалится, все хосты на стороне клиента, получающие IP автоматом, превратятся в тыкву. А отвал при 3 Мбитах практически неизбежен. Опять же ИМХО

[oparamonov]

В 15.12.2017 в 19:45, Geont сказал:

 

ИМХО, плохая идея. Если туннель развалится, все хосты на стороне клиента, получающие IP автоматом, превратятся в тыкву. А отвал при 3 Мбитах практически неизбежен. Опять же ИМХО

Спасибо за ответ!

[utya]

Работал eoip нормально на extra ii, а тут начал отваливаться. На других устройствах нормально работает eoip. Self-test приложу снизу.


UPD. Исправил, omni подсерал и поэтому eoip падал у всех. обновил прошивку и всё заработало

Изменено 23 декабря, 2017 пользователем utya

[vskoblin]

В 18.12.2017 в 09:13, oparamonov сказал:

Спасибо за ответ!

Я настраивал так: EoIP поверх VPN, EoIP  в бриджах, адреса их не пересекаются, но подсети одинаковые. Запретил хождение трафика DHCP в тоннель - всё пашет, все компы видны.

[vskoblin]

Подскажите, пожалуйста, ведь я могу тоннель поднять через соединение VPN, если нет белого адреса с другой стороны? В тоннеле все адреса видны друг другу, и тоннель должен работать? В поддержке почему-то пытаются меня убедить, что это неверно.

[dexter]

А вы попробуйте. У меня EoIP туннель внутри IPIP туннеля, что бы VPN работал.

[vskoblin]

4 часа назад, dexter сказал:

А вы попробуйте. У меня EoIP туннель внутри IPIP туннеля, что бы VPN работал.

Попробовал...

[vskoblin]

Проблема с тоннелями возникла в версии 2.10 на keenetic giga II. Подскажите, знающие люди!

Роутер подключён через сотовый модем. Создан L2TP тоннель к другому концу EoIP тоннеля. Вот тут и загвоздка. То ли стали ppp у них работать некорректно, то ли ещё что-то... Но, видимо, тоннель не находит маршрут до назначения и стучится в основной шлюз. Маршут до узла я прописал, чтобы через L2TP, но ведь он добавляется только тогда, когда поднимается L2TP, а к тому времени EoIP успевает сказать, в журнале, что ищет точку назначения через основной шлюз. И всё, помогает ручное отключение/включение тоннеля, и то почему-то через раз. Причём когда я соединяюсь с интернетом по проводу, то тоннель не заработает, если роутер сразу включён был с кабелем интернета в нём, а надо обязательно его переподключить, тогда почему-то он в состоянии найти адрес назначения. В общем, вопрос. Как его заставить искать адрес другого конца ТОЛЬКО в интерфейсе L2TP, даже если он не подключён?

Изменено 12 января, 2018 пользователем vskoblin

[Le ecureuil]

В 1/12/2018 в 23:50, vskoblin сказал:

Проблема с тоннелями возникла в версии 2.10 на keenetic giga II. Подскажите, знающие люди!

Роутер подключён через сотовый модем. Создан L2TP тоннель к другому концу EoIP тоннеля. Вот тут и загвоздка. То ли стали ppp у них работать некорректно, то ли ещё что-то... Но, видимо, тоннель не находит маршрут до назначения и стучится в основной шлюз. Маршут до узла я прописал, чтобы через L2TP, но ведь он добавляется только тогда, когда поднимается L2TP, а к тому времени EoIP успевает сказать, в журнале, что ищет точку назначения через основной шлюз. И всё, помогает ручное отключение/включение тоннеля, и то почему-то через раз. Причём когда я соединяюсь с интернетом по проводу, то тоннель не заработает, если роутер сразу включён был с кабелем интернета в нём, а надо обязательно его переподключить, тогда почему-то он в состоянии найти адрес назначения. В общем, вопрос. Как его заставить искать адрес другого конца ТОЛЬКО в интерфейсе L2TP, даже если он не подключён?

Должно помочь (только в случае, если EoIP без IPsec)

> interface EoIPX tunnel source L2TPY
 

[utya]

хотел уточнить у админов, планируется ли написание инструкции в базу знаний по созданию ipsec туннелей между keenetic и  linux. Сейчас стала задача подключить один сервер к моей сети keenetic, только не знаю какое решение лучше выбрать остановился вначале на l2tp/ipsec, только без инструкции сложновато.

[KorDen]

8 часов назад, utya сказал:

Сейчас стала задача подключить один сервер к моей сети keenetic

Если с обоих сторон статические белые IP - strongswan+ip tunnel на линуксе и ipip-туннель (можно авто с ikev2) очень прост. Если с одной из сторон динамический IP или NAT - потребуются скрипты для обновления айпишников туннеля.

[kersantinov]

Доброго дня. Хотелось бы иметь возможность маршрутизировать трафик на несколько подсетей через IPSec VPN.

Трюк с маской знаю, но, как вы понимаете, далеко не всегда прокатывает. Есть ли смысл создать топик в этой ветке? Спасибо.

[Le ecureuil]

3 часа назад, kersantinov сказал:

Доброго дня. Хотелось бы иметь возможность маршрутизировать трафик на несколько подсетей через IPSec VPN.

Трюк с маской знаю, но, как вы понимаете, далеко не всегда прокатывает. Есть ли смысл создать топик в этой ветке? Спасибо.

Смысла нет абсолютно, особенно после появления автотуннелей и L2TP/IPsec всех видов. Берите и используйте, а не костыли лепите.

[kersantinov]

4 минуты назад, Le ecureuil сказал:

Смысла нет абсолютно, особенно после появления автотуннелей и L2TP/IPsec всех видов. Берите и используйте, а не костыли лепите.

Ясно, понял. Будем так перебиваться) просто есть 2 ноды со специфичным продуктом, который умеет только IKEv1.

Спасибо.

[Le ecureuil]

24 минуты назад, kersantinov сказал:

Ясно, понял. Будем так перебиваться) просто есть 2 ноды со специфичным продуктом, который умеет только IKEv1.

Спасибо.

Судя по опыту прошлых лет, скорее всего мы не будем лепить костыли под чужое вендороспецифичное решение.

[kersantinov]

1 час назад, Le ecureuil сказал:

Судя по опыту прошлых лет, скорее всего мы не будем лепить костыли под чужое вендороспецифичное решение.

Я месседж уловил. Но на всякий случай, если вдруг будет время на костыли: в пролете остается керио(да и фиг с ним), и juniper SRX серии. И ваши же ZyWall, которые до сих пор в двух филиалах трудятся  честь им и хвала.

Да и дофига еще железок, которые кроме IPSec ничего не умеют.

[Le ecureuil]

2 часа назад, kersantinov сказал:

Я месседж уловил. Но на всякий случай, если вдруг будет время на костыли: в пролете остается керио(да и фиг с ним), и juniper SRX серии. И ваши же ZyWall, которые до сих пор в двух филиалах трудятся  честь им и хвала.

Да и дофига еще железок, которые кроме IPSec ничего не умеют.

Zywall больше не наши, и вообще они умеют GRE/IPsec (насколько я помню из их настроек). Неужто Juniper SRX не умеет GRE/IPsec?

[kersantinov]

8 часов назад, Le ecureuil сказал:

Zywall больше не наши, и вообще они умеют GRE/IPsec (насколько я помню из их настроек). Неужто Juniper SRX не умеет GRE/IPsec?

Я плохо слежу за roadmap видимо, упустил о возможности gre over ipsec у кинетиков)

Спасибо!

[Le ecureuil]

4 часа назад, kersantinov сказал:

Я плохо слежу за roadmap видимо, упустил о возможности gre over ipsec у кинетиков)

Спасибо!

Вы пишете в теме, в которой в первом посте описано о GRE/IPsec, IPIP/IPsec и о EoIP/IPsec, а также о чистых GRE, IPIP и EoIP. То есть во всех Keenetic (кроме устройств на 3052/5350) это уже больше года как есть.

[Orfey3]

Всем добрый день !

Подскажите пожалуйста как решить мою проблему. У Меня есть 2 роутера Ultra II(сервер) и Omni II(клиент) они находятся в одной большой городской сети 

Между собой они подключаются по OpenVPN . Внутренние устройства за роутерами друг друга видят  , пользователи сидящие за КЛИЕНТОМ выходят в интернет через СЕРВЕР. на Сервере поднят NAT на интерфейсе OpenVPN.

Возникла потребность, настроить TV  находящийся за Omni II к Dlna который настроен на Ultra II, для этого я поднял еще один туннель EoIP без своего IP адреса , повесив его адреса OpenVPN, и создал Bridge EoIP в локальные сети Home

на каждом из роутеров. порты на всех протоколах открыл

В итоге Желаемый результат я получил . но случилось другая вещь, все устройства находящиеся за КЛИЕНТОМ перестали попадать в интернет.

что я сделал не так???

[utya]

Каждый 4-5 дней отпадает eoip и помогает только хардварный перегруз сервера. @Le ecureuil если можете взгляните.
приложил снизу.